「うちからは漏えいしてないのに…」顧客のID/Pass使い回しで会員制サイトが陥る危機

ありがとうございます！
いいね！した記事一覧をみる

会員になると、いいね！でマイページに保存できます。

Eコマースなど多くの会員を抱えているWebサイトを運営している企業にとって、不正アクセス・不正ログインは頭の痛い問題だ。特に漏えいしたアカウントリストを使って不正ログインを試みる攻撃は、対策が難しい。万が一ログインが成功すると、情報漏えいなどの重大事故につながる可能性が高く、レピュテーションも著しく傷つく。ここでは、こうした漏えいアカウントによる不正ログインに対して、企業がとりうる対策を整理する。

自社のコントロール範囲外で、リスクが生じているかもしれない

（Photo/Getty Images）

そのID/Passはすでに漏れている？会員サイトに危機が迫る

　Eコマースやネットバンキングなど、Webサイトがビジネスの中核となっている企業は数多い。こうした企業が必ず直面する課題が、不正アクセスや不正ログインだ。

　特にIDとパスワードを不正に抜き取り、正規のユーザーに成りすましてログインする「アカウントテイクオーバー（ATO：Account Takeover）」（アカウント乗っ取り）は、会員サイトを運営している企業にとって対策が難しい攻撃である。

　その理由の1つが、攻撃者がすでに漏えいしたアカウントを使って攻撃を仕掛けるためだ。ダークウェブでは、さまざまなWebサイトで漏えいしたアカウント情報が売買されており、リストを手にした攻撃者は、それを使って会員サイトにログインを試みる。

　もしユーザーがIDやパスワードなどのアカウント情報を使い回していた場合は、自社で漏えいが起きていなくとも、情報流出やポイント・クレジットカードの不正使用といった被害が発生してしまい、責任を問われることになる。

　ユーザーに対してアカウント情報を使い回さないよう警告したとしても、それで100％使いまわしを防ぐことは不可能だろう。

　攻撃者の多くは、手に入れた漏えいアカウントのリストとボットを組み合わせて、効率的に攻撃を仕掛けてくるため、多要素認証、たとえば簡単なパズルを解かせて人間であることを識別するCAPTCHAなどはよく知られた対策の1つであるが、それよりも根本的な解決となるのは、アクセスしてきたアカウントが漏えいしているかどうかを判断することだ。

この記事の続き＞＞

・アカウント漏えいを瞬時に判定する方法

・金融、保険、Eコマース、ゲーム、医療などの分野で導入が進む

・セキュリティ強化だけでなく、顧客エンゲージメント向上にも貢献